HR部門がマルウェア攻撃の標的
サイバー犯罪者は、人材採用ワークフローを悪用して、HR部門を標的にするマルウェア攻撃を増やしています。攻撃者は、求人応募書類として偽装したマルウェアをHR部門に送り込みます。このマルウェアは、ISOイメージファイルを含む偽装された履歴書ファイルとして送信され、ダウンロードと開封時に実行されます。
マルウェアの詳細
最近の攻撃キャンペーンでは、BlackSanta EDR Killerというマルウェアが使用されています。このマルウェアは、エンドポイントセキュリティ保護をオフにする機能を持っています。ISOファイルを開くと、偽装されたショートカットファイルが実行され、攻撃の最初の段階が始まります。
攻撃の手口
- HR部門は、外部からのコミュニケーションや頻繁な文書のダウンロードに依存しているため、攻撃者の標的になりやすい。
- HRシステムは、高度なモニタリングツールや強化されたセキュリティポリシーを必ずしも備えていない。
- これらのシステムは、個人識別情報(PII)や内部企業プラットフォームへのアクセスを保持している。
マルウェアの展開
マルウェアは、ステガノグラフィを用いて隠蔽されたペイロードを配布し、正当な署名付きアプリケーションを介して悪意のあるDLLをサイドロードします。これにより、攻撃者のコードが信頼されたソフトウェアの下で実行されます。
防御回避と環境チェック
マルウェアは、自動化された分析システムを回避するための環境チェックを実行します。これには、システムホスト名やユーザー名、ロケール設定、仮想化アーティファクトのスキャンなどが含まれます。
BlackSantaの機能
BlackSantaは、脆弱なドライバをロードして、エンドポイント保護を無効化します。これにより、攻撃者は:
- アンチウイルスプロセスを終了する。
- エンドポイント検出と応答(EDR)エージェントを無効化する。
- Microsoft Defenderの保護を弱める。
- システムのログとモニタリングを抑制する。
- セキュリティコンソールから可視性を削除する。
攻撃の影響
マルウェアは、暗号化された通信を通じて、暗号通貨関連のアーティファクトやデバイス上に保存されている可能性のある機密ファイルを収集し、外部に送信します。
セキュリティ対策
組織は、HR部門を含むセキュリティ対策を強化し、従業員に対するセキュリティ意識教育を実施する必要があります。